QNAP（威聯通）近日發布了一項針對其Windows客戶的緊急資安警告，指出用於將資料備份到 QNAP 網路附加儲存 (NAS) 裝置的公用程式NetBak PC Agent，正受到一個被標記為嚴重的 ASP.NET Core 漏洞影響。這一事件凸顯了核心軟體元件漏洞如何跨越產品線，影響到終端用戶的關鍵備份工具。此安全性繞過漏洞編號為CVE-2025-55315，是在 Kestrel ASP.NET Core Web 伺服器中發現的，它使低權限攻擊者能夠劫持其他使用者的憑證或透過HTTP 請求走私繞過前端安全控制。該漏洞的成功利用，將會對用戶的系統安全構成極高威脅。

具體而言，成功利用該漏洞可允許攻擊者以其他使用者身分登入（以提升權限）、繞過跨站點請求偽造 (CSRF) 檢查或執行注入攻擊。這種權限提升和安全控制的繞過，為惡意行為提供了暢通無阻的道路。QNAP 補充道：「如果成功利用該漏洞，經過身份驗證的攻擊者可以向 Web 伺服器發送特製的 HTTP 請求，從而導致未經授權訪問敏感資料、修改伺服器文件或有限的拒絕服務條件。」這代表著從個人私密資料到企業營運文件的安全，都可能因缺乏及時修補而面臨暴露或損毀的風險。對於依賴 NetBak PC Agent 進行日常備份的用戶來說，漏洞的潛在危害範圍廣泛，嚴重衝擊了資料的機密性、完整性與可用性。

為應對此關鍵威脅，QNAP 強烈建議用戶必須立即採取行動以確保其 Windows 系統安裝了最新的 Microsoft ASP.NET Core 更新。這是一項基礎且必要的防護措施。為了保護系統免受潛在攻擊，建議 QNAP 使用者重新安裝 NetBak PC Agent 應用程式以取得最新的 ASP.NET Core 執行時間元件，或透過從.NET 8.0 下載頁面下載並安裝最新的 ASP.NET Core 執行時間（託管套件）在其 PC 上手動更新 ASP.NET Core。企業資安團隊與個人用戶都應將此修補工作列為最高優先級，並嚴格執行更新流程，以遏止任何潛在的利用嘗試。這一事件再次提醒了在雲端和邊緣運算環境中，持續監控與更新基礎元件的重要性，以確保關鍵備份流程的完整性與NAS設備的整體防禦能力。

資料來源：https://www.bleepingcomputer.com/news/security/qnap-warns-its-windows-backup-software-is-also-affected-by-critical-aspnet-flaw/